Citrix ADC

nFactor認証による3番目の要素のグループ抽出によるユーザー名と2つのパスワードの構成

次のセクションでは、nFactor 認証による 3 番目の要素でグループ抽出を使用した、ユーザー名と 2 つのパスワードの使用事例について説明します。

3番目の要素でグループ抽出を行うユーザー名と2つのパスワード

管理者がユーザー名と2つのパスワードフィールドを持つように最初の認証ファクタを設定するユースケースを想定します。2 番目の要素はパススルーです (このファクタのログインページはありません)。このファクタでは、1 番目のファクタのユーザ名と第 2 のパスワードが使用されます。3 番目の認証ファクタはパススルーで、1 番目のファクタからユーザ名を使用してグループ抽出するように設定されます。

  1. トラフィック管理仮想サーバにアクセスすると、ログインページにリダイレクトされます。

  2. クライアントは、ユーザー名と2つのパスワードを送信します。たとえば、ユーザー1、パス1、パス2 などです。

  3. 最初の要因は、user1 および pass1 のローカルポリシーに対して評価されます。評価は成功し、次の要素(この場合はポリシー「label1」)が渡されます。

  4. ポリシーラベルは、2 番目の要素が RADIUS ポリシーでパススルーされることを指定します。パススルースキーマとは、Citrix ADCアプライアンスがそれ以上の入力のためにクライアントに戻らないことを意味します。Citrix ADCアプライアンスは、すでに持っている情報を使用するだけです。この場合、ユーザー 1 とパス 2 です。次に、2 番目の係数を暗黙的に評価します。評価が成功すると、次の要素が渡されます(この場合はポリシー「label2」)。

  5. ポリシーラベルは、3 番目の要素がグループ抽出用に設定された LDAP ポリシーでパススルーされることを指定します。Citrix ADCアプライアンスは、最初の要素からユーザー名を暗黙的に使用します。

  6. 認証サーバは Cookie と、クライアントのブラウザをトラフィック管理仮想サーバにリダイレクトする応答を返します。この仮想サーバでは、要求されたコンテンツが戻されます。ログインに失敗すると、クライアントのブラウザに元のログオンページが表示されるため、クライアントは再試行できます。

    ログオンフォーム

CLI を使用して、次の操作を実行します

  1. トラフィック管理と認証仮想サーバを設定します。

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain dep.sqltest.net
  2. 第 1 ファクタを設定します。

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml
    • add authentication loginSchemaPolicy login1 -rule true -action login1
  3. 2 番目の要素を設定します。

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication policylabel label1 -loginSchema login2
  4. 3 番目の要素を設定します。

    • add authentication loginSchema login_pass -authenticationSchema noschema
    • add authentication policylabel label2 -loginSchema login_pass
  5. LOCAL、RADIUS、および LDAP ファクタを設定します。

    • add authentication Policy localpolicy -rule true -action LOCAL
    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
    • add authentication radiusAction radius -serverIP 10.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radiuspolicy -rule true -action radius
  6. ポリシーをバインドします。

    • bind authentication vserver avn -policy login1 -priority 10 -gotoPriorityExpression END
    • bind authentication vserver avn -policy localpolicy -priority 2 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName radiuspolicy -priority 1 -gotoPriorityExpression NEXT -nextFactor label2
    • bind authentication policylabel label2 -policyName ldappolicy -priority 10 -gotoPriorityExpression NEXT

セットアップは、Citrix ADCバージョン13.0以降で利用可能なnFactorビジュアライザを使用して作成することもできます。

nFactorビジュアライザRADIUSとグループ抽出

nFactor ビジュアライザーを使用した構成

  1. [セキュリティ] > [AAA アプリケーショントラフィック] > [nFactor ビジュアライザー] > [nFactor フロー] に移動し、[追加] をクリックします。

  2. + をクリックして nFactor フローを追加します。

    フローの追加

  3. 係数を追加します。入力する名前は nFactor フローの名前です。[作成] をクリックします。

    フローの名前を追加する

  4. スキーマの追加」 をクリックして、最初の要素のログインスキーマを追加します。認証ログインスキーマを作成することも、リストから既存の認証ログインスキーマを選択することもできます。[OK] をクリックします。

    スキーマの追加

  5. [Add Policy] をクリックして、最初の要素認証ポリシーを追加します。認証ポリシーを作成するか、リストから既存の認証ポリシーを選択できます。

    ローカルポリシーの追加

  6. 次の手順に従って、ローカルポリシーを作成します。

    ローカルポリシーの作成

  7. 緑の [+] をクリックして、2 番目の係数を追加します。

    次の係数を追加

  8. スキーマの追加」 をクリックして、2 番目の要素のログインスキーマを追加します。認証ログインスキーマを作成することも、リストから既存の認証ログインスキーマを選択することもできます。[OK] をクリックします。

    2 番目の係数を追加

  9. [Add Policy] をクリックして、ポリシーを作成します。[作成] をクリックし、[追加] をクリックします。

    ポリシーの追加

    注:

    RADIUSアクションが作成されない場合は、RADIUS認証を構成するにはを参照してください。

  10. 緑の [+] をクリックして 3 番目の係数を追加し、[作成] をクリックします。

    3 番目の係数を追加

  11. スキーマの追加」 をクリックして、2 番目の要素のログインスキーマを追加します。認証ログインスキーマを作成することも、リストから既存の認証ログインスキーマを選択することもできます。[OK] をクリックします。

  12. [Add Policy] をクリックして、ポリシーを作成します。[作成] をクリックし、[追加] をクリックします。

  13. LDAPアクションが追加されている場合は、同じアクションを選択します。そうでない場合は、KB 記事に従って作成してください。また、抽出のみを行っているため、LDAP アクションで認証を無効にしてください。詳しくは、「認証なしのNetScaler によるグループ抽出にLDAPを使用する方法」を参照してください。

    LDAP 認証の追加

  14. [認証ポリシーの構成] で LDAP ポリシーを追加し、[OK] をクリックします。

    LDAP 認証ポリシーの追加

  15. [完了] をクリックします。nFactor flow を選択し、[認証サーバにバインド] オプションをクリックし、リストから認証 、承認、監査の仮想サーバを選択します。

    LDAPファクタ

nFactor認証による3番目の要素のグループ抽出によるユーザー名と2つのパスワードの構成